Cibercriminosos estão explorando ativamente uma falha zero day em appliances SonicWall SMA1000 usados para acesso remoto corporativo. A cadeia de ataque pode permitir execução de código e obtenção de privilégios máximos nos dispositivos afetados.
O caso envolve duas vulnerabilidades. A mais grave é a CVE-2026-15409, com pontuação CVSS 10.0, que permite a um invasor alcançar serviços internos do appliance sem autenticação. A segunda, CVE-2026-15410, permite elevar privilégios localmente.
As falhas afetam modelos SMA1000 Series 6210, 7210 e 8200v em diferentes versões de firmware, incluindo 12.4.3-03434 e 12.5.0-02800. A SonicWall informou que firewalls com SSL VPN e a linha SMA 100 não são afetados.
Pesquisadores observaram appliances comprometidos sendo usados como portas de entrada discretas para redes corporativas. Em alguns casos, os invasores coletaram credenciais, dados de sessão e sementes de autenticação multifator, além de avançar para ambientes Active Directory.
A correção deve ser tratada como emergencial. Administradores devem atualizar para as versões 12.4.3-03453, 12.5.0-02835 ou posteriores.



